Ovi Omar Caballero Larios

Auditoría de Sistemas:
 Es el examen o revisión de carácter objetivo
(independiente), crítico(evidencia),
sistemático (normas), selectivo (muestras) de
las políticas, normas, prácticas, funciones,
procesos, procedimientos e informes
relacionados con los sistemas de información
computarizados, con el fin de emitir una
opinión profesional (imparcial) con respecto a:
 
 Eficiencia en el uso de los recursos informáticos
 Validez de la información
 Efectividad de los controles establecidos
Auditoría de Sistemas:

 El proceso de recolección y evaluación

de evidencia para determinar si un
sistema automatizado:
 Salvaguarda activos.
Daños
Destrucción
Uso no autorizado
Robo

 Alcanza metas organizacionales.

Contribución de la función Informática
Auditoría de Sistemas:

 Mantiene integridad de los datos

Información precisa
Completa
Oportuna
Precisa

 Consume recursos eficientemente

Utiliza los recursos adecuadamente en el
procesamiento de la información
Tipos de Auditoría

 Financiera
 Veracidad estados financieros
 Preparación de informes de acuerdo a principios
contables
 Operacional
 Evalúa la eficiencia, eficacia
 Economía de los métodos y procedimientos
que rigen un proceso de una empresa
 Sistemas
 Se preocupa de la función informática
Tipos de Auditoría

 Fiscal
 Se dedica a observar el cumplimiento de las
leyes fiscales
 Administrativa
 Analiza:
Logros de los objetivos de la Administración
Desempeño de funciones administrativas
 Calidad
 Evalúa métodos, mediciones y controles de
los bienes y servicios
Tipos de Auditoría

 Interna
 Existe por expresa decisión de la empresa y
puede optar por su disolución en cualquier
momento

 Externa
 Es realizada por personas afines a la empresa
para alcanzar una mayor objetividad ya que
hay mayor distancia entre auditor y auditado
Objetivos Generales de una
Auditoría de Sistemas
 Buscar una mejor relación costo-beneficio de los
sistemas automáticos o computarizados diseñados e
implantados por el PAD
 Incrementar la satisfacción de los usuarios de los
sistemas computarizados
 Asegurar una mayor integridad, confidencialidad y
confiabilidad de la información mediante la
recomendación de seguridades y controles.
 Conocer la situación actual del área informática y las
actividades y esfuerzos necesarios para lograr los
objetivos propuestos.
Objetivos Generales de una
Auditoría de Sistemas
 Seguridad de personal, datos, hardware,
software e instalaciones
 Apoyo de función informática a las metas y
objetivos de la organización
 Seguridad, utilidad, confianza, privacidad y
disponibilidad en el ambiente informático
 Minimizar existencias de riesgos en el uso de
Tecnología de información
 Decisiones de inversión y gastos innecesarios
 Capacitación y educación sobre controles en
los Sistemas de Información
Justificativos para efectuar
una Auditoría de Sistemas
 Aumento considerable e injustificado del
presupuesto del PAD (Departamento de
Procesamiento de Datos)
 Desconocimiento en el nivel directivo de la
situación informática de la empresa
 Falta total o parcial de seguridades lógicas
y físicas que garanticen la integridad del
personal, equipos e información.
 Descubrimiento de fraudes efectuados con
el computador
Justificativos para efectuar
una Auditoría de Sistemas
 Falta de una planificación informática
 Organización que no funciona correctamente,
falta de políticas, objetivos, normas,
metodología, asignación de tareas y adecuada
administración del Recurso Humano
 Descontento general de los usuarios por
incumplimiento de plazos y mala calidad de los
resultados
 Falta de documentación o documentación
incompleta de sistemas que revela la dificultad
de efectuar el mantenimiento de los sistemas en
producción
 Controles

Conjunto de disposiciones
metódicas, cuyo fin es vigilar las
funciones y actitudes de las
empresas y para ello permite
verificar si todo se realiza conforme
a los programas adoptados, ordenes
impartidas y principios admitidos
Clasificación general de los
controles
Controles Preventivos: Son aquellos
que reducen la frecuencia con que ocurren
las causas del riesgo, permitiendo cierto
margen de violaciones . Ejemplo: Letrero
“No fumar” para salvaguardar las
instalaciones sistemas de claves de acceso.
Controles detectivos: Son aquellos que
no evitan que ocurran las causas del riesgo
sino que los detecta luego de ocurridos.
Son los más importantes para el auditor. En
cierta forma sirven para evaluar la
eficiencia de los controles preventivos.
Ejemplo: Procedimientos de validación
Clasificación general de los
controles
Controles Correctivos: Ayudan a la
investigación y corrección de las causas del
riesgo. La corrección adecuada puede
resultar difícil e ineficiente, siendo
necesaria la implantación de controles
detectivos sobre los controles correctivos,
debido a que la corrección de errores es en
si una actividad altamente propensa a
errores.
 COBIT

COBIT es un conjunto de objetivos de

control para el ambiente de tecnología de
información en que se desenvuelven los
procesos de muchas empresas. El logro
de estos objetivos es gracias a un trabajo
de investigación y de búsqueda de
consenso entre la normatividad de
distintos cuerpos colegiados, estándares
técnicos, códigos de conducta, prácticas y
requerimientos de la industria y
requerimientos emergentes para
industrias específicas (desde la industria
 Misión de COBIT

Investigar, desarrollar, publicar y

promover un conjunto internacional,
autorizado y actual de objetivos de
control de tecnología de información
generalmente aceptados para el uso
cotidiano de gerentes de empresa y
auditores.
 Estructura de COBIT
Se fundamenta en la idea de que los
recursos de TI deben ser utilizados en
forma adecuada.

La componen tres elementos:

Recursos.
Procesos
Requerimientos.
Estos elementos se relacionan de
diferentes maneras ya que un recurso
puede ser utilizado por varios procesos.
Los procesos pueden estar satisfaciendo
 Recursos de TI
La clasificación de los recursos que propone
el COBIT es:

Datos
 Sistemas de Información
 Tecnología
Instalaciones
 Recursos humanos
Recursos de TI-Dominios
El Cobit se encuentra dividido en cuatro
Dominios:

Planeación y Organización (Planning and

Organization, PO)
Adquisición e implementación
(Acquisition and Implementation, AI)
Entrega de servicios y Soporte (Delivery
and Support, DS)
Monitores (Monitoring, M)
 Procesos
Estos cuatro Dominios son divididos en 34 procesos

1. Planeación y Organización
PO1. Definir un plan estratégico de sistemas
PO2. Definir la arquitectura de información
PO3. Definir la dirección tecnológica
PO4. Definir la organización y sus relaciones
....
PO11. Administrar calidad

2. Adquisición e Implementación
AI1. Identificar soluciones de automatización
AI2. Adquirir y mantener software de aplicación
AI3. Adquirir y mantener la arquitectura tecnológica
....
AI6. Administrar cambios
 Procesos
3. Prestación de servicios y soporte
DS1. Definir niveles de servicio
DS2. Administrar servicios a terceros
DS3. Administrar desempeño y capacidad
....
DS13. Administrar la operación

4. Monitoreo
M1. Monitorear el proceso
M2. Evaluar lo adecuado del control interno
M3. Obtener aseguramiento independiente
M4. Proporcionar auditoria independiente
 Procesos-Actividad o
Tarea
Para cada uno de estos Procesos el COBIT
define las actividades o tareas relacionadas.
Además identifica los Objetivos de Control.

Buscar en COBIT una tarea especifica

Dominio 3. Prestación de Servicio
Proceso DS2. Administrar servicios de
terceros
Actividad 2.3 Contratos con terceros
Objetivo de Control: "La gerencia debe
definir procedimientos específicos para
asegurar que un contrato formal es definido
y acordado para cada relación de servicio
 Requerimientos de
Cobit
Negocio
clasifica los requerimientos de
información del negocio en las siguientes
categorías:

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad de la información
 El auditor
Las normas que regulan el comportamiento del
auditor se pueden clasificar de la siguiente
manera:

 Normas permanentes de carácter profesional.

 Normas de carácter social.

 Normas de comportamiento ético-moral

 Normas permanentes de
carácter profesional
 Emitir una opinión responsable y profesional respaldada en
evidencias comprobadas.
 Mantener una disciplina profesional.
 Guardar el secreto profesional.
 Tener independencia mental.
 Contar con responsabilidad profesional.
 Capacitación y adiestramiento permanentes.
 Hacer una planeación de la auditoría y de los programas de
evaluación.
 Hacer la presentación del dictamen por escrito, así como la
 aclaración de diferencias.
 Normas de carácter social
 Acatar las normas y obligaciones de carácter social.
 Respetar a las autoridades, leyes, normas y
reglamentos.
 Evitar y prevenir sobornos, componendas y dádivas.
 Ser leal con los auditados.
 Contar con una opinión profesional y defenderla.
 Emitir un dictamen con firma profesional.
 Contar con apoyo didáctico y normativo vigente.
 Normas de
comportamiento ético-
 moral
Ser incorruptible e insobornable.
 Ser imparcial en los juicios que emite como
auditor.
 Contar con un juicio sereno, ético y moral.
Metodología de la
Auditoria
 Estudio Preliminar

Incluye definir el grupo de trabajo, el programa de

auditoria, efectuar visitas a la unidad informática
para conocer detalles de la misma, elaborar un
cuestionario para la obtención de información para
evaluar preliminarmente el control interno,
solicitud de plan de actividades, Manuales de
políticas, reglamentos, Entrevistas con los
principales funcionarios del PAD.
 Revisión y evaluación de
controles y seguridades
Consiste en la revisión de los diagramas de flujo de
procesos, realización de pruebas de cumplimiento de las
seguridades, revisión de aplicaciones de las áreas criticas,
Revisión de procesos históricos (backups), Revisión de
documentación y archivos, entre otras actividades.
 Examen detallado de áreas
críticas
Con las fases anteriores el auditor descubre las áreas
críticas y sobre ellas hace un estudio y análisis
profundo en los que definirá concretamente su grupo de
trabajo y la distribución de carga del mismo,
establecerá los motivos, objetivos, alcance Recursos
que usara, definirá la metodología de trabajo, la
duración de la auditoria, Presentará el plan de trabajo
y analizara detalladamente cada problema encontrado.
Comunicación de resultados
Se elaborará el borrador del informe a
ser discutido con los ejecutivos de la
empresa hasta llegar al informe
definitivo, el cual presentará
esquemáticamente en forma de
matriz, cuadros o redacción simple y
concisa que destaque los problemas
encontrados, los efectos y las
recomendaciones de la Auditoria.
El informe debe contener lo
siguiente
 Motivos de la Auditoria
 Objetivos
 Alcance
 Estructura Orgánico-Funcional del área
Informática
 Configuración del Hardware y Software instalado
 Control Interno
 Resultados de la Auditoria